名稱
相關資料
病毒名稱:Worm_Bbeagle.AT("貝革熱"病毒變種)其它英文命名:Win32.Bagle.AQ (Computer Associates)
Worm_Bbeagle.bf(瑞星)
Worm_Bbeagle.t(金山)
W32.Beagle.AV@mm (Symantec)
W32/Bagle.BC.worm (Panda)
WORM_BAGLE.AT (Trend Micro)
Bagle.AT (F-Secure)
W32/Bagle.bb@mm (McAfee)
W32/Bagle-AU (Sophos)
I-Worm.Bagle.at (Kaspersky)
W32/Bagle.AQ@mm (Norman)
感染系統:Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
病毒特徵:
1、生成病毒檔案
病毒運行後在%System%目錄下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
(其中,%System%為系統資料夾,在默認情況下,在Windows 95/98/Me中為 C:\Windows\System、在Windows NT/2000中為C:\Winnt\System32、在Windows XP中為C:\Windows\System32)
2、修改註冊表項
病毒會添加註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒還會在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "【 隨機變數 】"
3、通過電子郵件傳播
病毒通過電子郵件進行傳播,病毒搜尋被感染計算機內多種類型的檔案(檔案類型見文檔末尾),從中找到郵件地址,並使用自帶得SMTP引擎向這些地址傳送病毒郵件,病毒同時會避免向一些包含特定字元的地址傳送郵件(過濾的字元見文檔末尾)。病毒郵件格式如下
發信人:虛假的地址
主題:(為下列之一)
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
內容:
:))
附屬檔案名稱:(為下列之一)
Price
price
Joke
附屬檔案的擴展名:(為下列之一)
COM
CPL
EXE
SCR
4、通過網路共享進行傳播
病毒搜尋包含字元串shar的資料夾,並在找到的資料夾下生成自身的拷貝,拷貝有多種名稱,如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。
5、阻止安全軟體的運行
病毒為了保護自身的運行,會終止一些與安全軟體相關的進程,以便阻止他們的運行。
清除該病毒的一些建議:
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC,選擇"任務管理器--〉進程",選中正在運行的進程wingo.exe、wingo.exeopen、wingo.exeopenopen,並終止其運行。
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的"wingo" = "%System%\wingo.exe"
依次雙擊左側的HKEY_CURRENT_USER\Software\Microsoft\Params ,並刪除面板右側的"Timekey" = "【 隨機變數 】"
3、刪除病毒釋放的檔案
點擊"開始--〉查找--〉檔案和資料夾",查找檔案wingo.exeopen、wingo.exeopenopen,並將找到的檔案刪除。
4、運行防毒軟體,對系統進行全面的病毒查殺
